Pour diffusion immédiate:
mercredi 22 juin 2022
Contact:
Nazneen Ahmed (919) 716-0060
(RALEIGH) Le procureur général Josh Stein a conclu aujourd’hui un règlement multi-États de 1,25 million de dollars avec Carnival Cruise Line, basé en Floride, à la suite d’une violation de données en 2019 impliquant les informations personnelles d’environ 180 000 employés et clients de Carnival, dont 3 139 habitants de la Caroline du Nord. Le procureur général Stein faisait partie du comité exécutif chargé d’enquêter sur Carnival. La Caroline du Nord recevra 42 830,10 $.
“Les ramifications d’une violation de données peuvent être dévastatrices pour les personnes dont l’identité et les informations financières sont compromises et volées”, a déclaré le procureur général Josh Stein. « Les entreprises qui détiennent nos informations personnelles et financières doivent faire tout ce qui est raisonnablement en leur pouvoir pour les protéger contre les pirates. Je suis ravi que Carnival apporte des changements pour mieux protéger les données des personnes.
En mars 2020, Carnival a publiquement signalé une violation de données dans laquelle un acteur non autorisé a eu accès aux comptes de messagerie de certains employés de Carnival. La violation comprenait des noms, des adresses, des numéros de passeport, des numéros de permis de conduire, des informations de carte de paiement, des informations sur la santé et un nombre relativement restreint de numéros de sécurité sociale.
Dans sa notification de violation, Carnival a déclaré qu’il avait pris connaissance pour la première fois d’une activité de courrier électronique suspecte fin mai 2019, environ 10 mois avant de signaler la violation. Dans leur enquête, les procureurs généraux se sont concentrés sur les pratiques de sécurité des e-mails de Carnival et sur la conformité aux statuts de notification des violations de l’État. Les violations de données « non structurées » comme la violation de Carnival impliquent des informations personnelles stockées par e-mail et d’autres plates-formes désorganisées. Les entreprises manquent de visibilité sur ces données, ce qui rend la notification des violations plus difficile et le risque pour les consommateurs augmente avec les retards.
Carnival a accepté de renforcer ses pratiques de sécurité des e-mails et de réponse aux violations à l’avenir, notamment en mettant en œuvre et en maintenant un plan de réponse et de notification des violations, en surveillant les événements de sécurité potentiels, en mettant en place une formation à la sécurité des e-mails pour les employés, une authentification multifacteur pour l’accès à distance aux e-mails, et des politiques de mot de passe plus strictes et une évaluation indépendante de la sécurité des informations.
Le procureur général Stein s’est associé pour parvenir à ce règlement avec les procureurs généraux du Connecticut, de la Floride, de Washington, de l’Alabama, de l’Arizona, de l’Arkansas, de l’Ohio, de l’Alaska, du Colorado, du Delaware, du district de Columbia, de la Géorgie, d’Hawaï, de l’Idaho, de l’Indiana, de l’Iowa et du Kansas. , Kentucky, Louisiane, Maine, Maryland, Massachusetts, Michigan, Minnesota, Montana, Nebraska, Nevada, New Hampshire, New Jersey, Nouveau-Mexique, New York, Dakota du Nord, Oklahoma, Oregon, Pennsylvanie, Rhode Island, Caroline du Sud, Dakota du Sud , Tennessee, Utah, Vermont, Virginie, Virginie-Occidentale, Wisconsin et Wyoming.
Une copie du règlement est disponible ici.
###
